Злом мосту Axelar та Secret Network: вразливість «нескінченного карбування» обійшлася у $4,67 млн

19 червня блокчейн-проєкт Axelar офіційно підтвердив злам кроссчейн-мосту, що з'єднує його з протоколом Secret Network. Зловмисник, використовуючи вразливість «нескінченного карбування», вивів близько $4,67 млн в обгорнутих активах. Інцидент залишався непоміченим протягом семи днів, що вказує на недостатній рівень моніторингу транзакцій з боку Secret Network.
Деталі атаки та технічне підґрунтя
За даними провідного розробника Axelar — Common Prefix, баг було виявлено в смарт-контракті ICS-20, розгорнутому на Secret Network у рамках Cosmos IBC-з'єднання. Проблема полягала в тому, що контракт, який створює «обгорнуті» версії активів (saToken), не перевіряв канал походження вхідних транзакцій. Це дозволило атакуючому сфальсифікувати депозити та випускати токени без реального забезпечення.
Для реалізації атаки зловмисник запустив в екосистемі Cosmos новий ланцюжок з одним валідатором. З цього ланцюжка він пересилав пакети з фейковими номіналами активів, що призвело до емісії незабезпечених saUSDT, saUSDC, saDAI, saWETH, saWBTC, saWBNB та sawstETH. Операції не вимагали дозволу, що зробило вразливість легкодоступною для експлуатації.
Реакція та наслідки для ринку
Комітет з надзвичайних ситуацій Axelar оперативно відключив з'єднання Secret та Secret-SNIP, щоб зупинити подальші несанкціоновані перекази. Команда координує дії з біржами та правоохоронними органами для відстеження коштів та їх можливого повернення. Важливо підкреслити, що основний протокол Axelar, інші IBC-з'єднання та нативні активи Secret Network не були порушені.
Незважаючи на повідомлення про злам, ціна токена Secret (SCRT) у моменті підскочила майже на 6%, досягнувши $0,06. Після корекції актив торгується в районі $0,058, зберігаючи добове зростання близько 3%. Капіталізація становить приблизно $20 млн. При цьому на історичному максимумі в жовтні 2021 року SCRT коштував $10,64, що на 99,5% перевищує поточні котирування.
Експертна думка
Цей інцидент — черговий тривожний сигнал для всієї індустрії кроссчейн-мостів. Вразливості типу «нескінченного карбування» стають класикою, але проєкти продовжують ігнорувати базові перевірки каналів та аудит смарт-контрактів. Поки мости залишаються слабкою ланкою DeFi, інвесторам варто очікувати повторення подібних атак, особливо на менш ліквідних мережах, де моніторинг безпеки залишає бажати кращого.